Victoria - Fotolia
La coopération contre la cybercriminalité affiche ses limites
Des appels à plus de coopération dans la lutte contre la cybercriminalité sont lancés régulièrement. Ils apparaissent encore trop peu entendus.
Fin avril, Trend Micro publiait un rapport synthétisant deux ans d’enquête sur des activités qu’il attribue au gorupe Pawn Storm, ou Fancy Bear, APT28, Sofacy, Sednit, voire Strontium. Dans celui-ci, l’éditeur rendait public de nombreux indicateurs de compromission, présentés de facto comme des marqueurs du groupe concerné, avec notamment des noms de domaines utilisés dans des campagnes de hameçonnage ciblé, dont celles ayant visé les équipes de campagne du Président de la République, Emmanuel Macron.
Las, au moment de la publication, nombre de ces domaines étaient encore actifs, comprendre : utilisables par leurs titulaires. Et cela valait notamment pour certains de ceux utilisés pour piéger les équipes d’En Marche ! Des services d’hébergement associés l’étaient également. Sollicitées par la rédaction, les équipes de l’hébergeur concerné, Host1Plus, ont noté des comportements suspects liés à la souscription des offres d’hébergement concernés et ont procédé à leur clôture.
Quid, dans ce contexte, de la coopération entre acteurs des technologies de l’information dans la lutte contre la cybercriminalité ? On peut comprendre aisément qu’il soit choisi de laisser opérationnels certains « actifs » de cybercriminels en phase d’enquête. Mais à compter du moment où ils sont rendus publics, il est difficile d’imaginer qu’ils puissent encore servir les objectifs de services spécialisés dans la lutte contre la cybercriminalité.
Un métier : vendre du service
Chez Namecheap, où a atterri le nom de domaine onedrive-en-marche.fr, les équipes juridiques nous ont expliqué que le titulaire de ce nom de domaine l’avait tout bonnement « abandonné ».
Nos demandes consistant à savoir si des tiers avaient signalé ce nom au préalable sont restées sans réponse. Tout juste nous a-t-il été indiqué qu’il « semble que nous ne soyons pas destinataire des rapports des organisations mentionnées », en référence à Trend Micro. HostSailor, vers l’infrastructure duquel pointaient certains domaines évoqués par l’éditeur, ne s’est pas montré plus loquace.
Même prudence chez 1API GmbH au sujet de quatre domaines utilisés pour piéger l’équipe de campagne d’Emmanuel Macron. Selon lui, c’est via un « revendeur » qu’ils ont été enregistrés. Pas de réponse explicite quant à une éventuelle notification par un tiers, mais « non » implicite : le service juridique a indiqué avoir transmis notre question au dit revendeur avant de nous répondre. En somme, il ne semblait pas avoir la moindre indication sur l’affaire.
Par téléphone, Host1Plus s’est montré plus clair : « ce que Trend Micro fait ou ne fait pas, ça ne nous intéresse pas. Dans notre perspective, nous conduisons nos activités, nous faisons notre métier d’hébergeur ». Pas question, donc, de surveiller proactivement les travaux de recherche rendus publics. Pour autant, « oui, nous recevons régulièrement des notifications […] c’est une chose normale ».
Un registrar français nous a en fait confié recevoir des notifications de CERT ou d’agences comme l’Agence nationale pour la sécurité des systèmes d’information (Anssi), mais « plus rarement » d’éditeurs ou de spécialistes du renseignement sur les menaces.
OVH a plus ou moins répondu en indiquant que « les acteurs vont principalement alerter l’hébergeur qui justement héberge la page de phishing. Mais parfois, ils vont également contacter le registrar s’il est clair que le domaine a été créé à des fins de phishing ».
L’allemand 1&1, dont le service d’adresses e-mail @mail.com semble particulièrement prisé par les membres du groupe APT28, n’a pas répond à nos questions. A l’instar de plusieurs hébergeurs et registrar potentiellement concernés.
Protéger ses clients, plus que lutter contre un phénomène
Mais alors quid de ces spécialistes de la sécurité informatique qui publient régulièrement des rapports sur les activités présumées d’acteurs malicieux ? Palo Alto et F-Secure n’ont pas réponds à nos questions à ce jour, ni même CrowdStrike et FireEye, ce dernier invoquant la déferlante médiatique WannaCry comme justification.
Chez Kasperky, Costin Raiu, directeur des équipes de recherche et d’analyse, s’est montré plus disert : « nous signalons régulièrement domaines et IP malicieux à nos partenaires, qui incluent CERTs et forces de l’ordre ».
Maya Horowitz, responsable du groupe de recherche sur les menaces de Check Point, interrogée lors de la conférence CPX, indique les pratiques de notification « varient » parce que « nos efforts visent à faire en sorte que nos produits connaissent ces indicateurs de compromission pour qu’ils puissent protéger nos clients ». Alors, « de temps à autre, lorsque nous identifions une menace et que nous la disséquons, nous essayons de travailler avec forces de l’ordre et prestataires de services pour faire tomber domaines et infrastructures ».
Joint par téléphone, Loïc Guézo, stratégiste cybersécurité chez Trend Micro, explique lui aussi que « notre priorité va aux victimes potentielles. Nous avons des dispositifs d’information et d’alerte avec elles, ainsi que, suivant les pays, avec les forces de l’ordre ». Mais pour ce qui est des registrars et hébergeurs, « l’effort est plutôt dirigé vers les CERTs compétents, en mode best effort, mais nous n’avons pas d’autre objectif particulier que de rendre public ce que l’on a vu ». Pas d’objectif, donc, « de faire fermer l’infrastructure d’attaque ».
Et Loïc Guézo d’interroger : « quelle serait la légitimité du service de R&D d’un éditeur à pointer du doigt et exiger une fermeture de contenu analysé sur le Web ? » Ça, explique-t-il, c’est le rôle de la Justice, sur la base d’une plainte, ou des forces de l’ordre – « qui nous demandent parfois de documenter plus en profondeur ce que l’on a rendu public ».
Mais la lutte peut aussi être décourageante. Ainsi, selon Maya Horowitz, les fournisseurs concernés ne font pas non plus forcément preuve de beaucoup de zèle : « généralement, nous n’obtenons pas de réponse des services juridiques des fournisseurs de services concernés ». Pas de quoi encourager à la notification…